SpringSecurity3.X的remember-me

在SpringSecurity中配置remember-me时，遇到这样的问题，remember-me没有起做用，按照官方文档的讲解，只须要在<http>中增长<remember-me />配置，并在login.jsp中增长以下代码便可：

<input id="_spring_security_remember_me" name="_spring_security_remember_me" type="checkbox" value="true"/>

简要说明一下SpringSecurity的登陆过程：

UsernamePasswordAuthenticationFilter ：得到用户提交的用户名和密码信息  
-->UserDetailsService ：由其封装用户对象  
-->AbstractUserDetailsAuthenticationProvider ：转由其进行密码和权限验证，验证经过后封装一个Authentication  
-->ProviderManager：会将Authentication封装到SecurityContext中（默认状况下，ProviderManager会在认证成功后清除掉Authentication的密码信息，但会保留用户名称）  
-->AbstractRememberMeServices ：判断请求参数中是否包含_spring_security_remember_me参数，若是包含而且值为（true，on,yes，1）中的任意一个，则将用户名和密码信息保存进cookie，不然不作处理  
-->AccessDecisionManager ：由其决定是否放行  
  
以后在请求被保护的资源时，RememberMeAuthenticationFilter会先判断是否Authentication已经失效，若是失效，则试图从cookie中寻找，找到则从新封装Authentication。

问题就出在ProviderManager中，其布尔属性eraseCredentialsAfterAuthentication默认值为true，若是为true则会在username和password验证成功后清除掉Authentication中的password信息，而AbstractRememberMeServices 保存cookie的条件则须要从Authentication中同时取得username和password，这就致使默认状况下AbstractRememberMeServices永远不会将username和password存储到cookie中，因此，为了保证username和password能够被正确的存储到cookie中，咱们须要修改eraseCredentialsAfterAuthentication的值为false，好在修改这个属性很方便，以下：

<authentication-manager erase-credentials="false">  
        <authentication-provider user-service-ref="userService">  
            <password-encoder hash="md5" />  
        </authentication-provider>  
</authentication-manager>

<remember-me  token-validity-seconds="123456789"/>